Harbor介绍

容器应用的开发和运行离不开可靠的 镜像管理，并且从安全和效率等方面考虑，部署在私有环境内也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目，它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。

官网地址：https://github.com/goharbor/harbor

安装前的准备工作

harbor安装环境

操作系统：centos7.9
服务器配置： 4Gib内存/4vCPU/80G硬盘
网络：NAT模式

准备工作

需要提前部署好docker，为后面harbor的使用准备
本次实验将docker部署在了另一个服务器上，docker的部署步骤详见：
https://blog.csdn.net/weixin_40364776/article/details/103787201

配置机器主机名

hostnamectl set-hostname harbor && bash

为Harbor自签发证书

mkdir /data/ssl -pcd /data/ssl/

生成ca证书

生成一个3072位的key（私钥）

openssl genrsa -out ca.key 3072

生成一个数字证书ca.pem

• -new 表示生成一个新的证书请求
• -x509 表示输出一个X.509证书，而不是一个证书签名请求
• -days 3650 表示证书的有效期为10年

openssl req -new -x509 -days 3650 -key ca.key -out ca.pem

按箭头前的提示填写城市信息即可，没有箭头标注的直接回车

生成harbor域名的证书

生成一个3072位的key（私钥）

openssl genrsa -out harbor.key  3072

生成一个证书请求，一会签发证书时需要的

openssl req -new -key harbor.key -out harbor.csr

按箭头前的提示填写 城市信息 和 主机名 即可，没有箭头标注的直接回车

签发证书

openssl x509 -req -in harbor.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out harbor.pem -days 3650

显示如下，说明证书签发好了

安装Harbor

安装docker

关闭防火墙

systemctl stop firewalld && systemctl disable firewalld

关闭iptables防火墙

安装iptables

yum install iptables-services -y

禁用iptables

service iptables stop && systemctl disable iptables

清空防火墙规则

iptables -F

关闭selinux

setenforce 0

修改selinux配置文件之后，重启机器，selinux配置才能永久生效

reboot -f

配置时间同步

yum install -y ntp ntpdate

跟网络时间做同步

ntpdate cn.pool.ntp.org

把时间同步做成计划任务

crontab -e

写入：

* */1 * * * /usr/sbin/ntpdate   cn.pool.ntp.org

重启crond服务使配置生效

systemctl restart crond

配置hosts文件

vi /etc/hosts

加 harbor和 docker 的 IP和访问域名信息
(ps. docker是提前在192.168.40.180主机上部署好的)

192.168.40.180 docker
192.168.40.184 harbor

安装基础软件包

yum install -y  wget net-tools nfs-utils lrzsz gcc gcc-c++ make cmake libxml2-devel openssl-devel curl curl-devel unzip sudo ntp libaio-devel wget vim ncurses-devel autoconf automake zlib-devel  python-devel epel-release openssh-server socat  ipvsadm conntrack 

安装docker依赖包

yum install -y yum-utils device-mapper-persistent-data lvm2

安装docker-ce

配置docker-ce国内yum源（阿里云）

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

安装docker-ce

yum install docker-ce -y

启动docker服务

systemctl start docker && systemctl enable dockersystemctl status docker

看到running，表示docker正常运行

查看Docker 版本信息

docker version 

开启包转发功能和修改内核参数

内核参数修改：br_netfilter模块用于将桥接流量转发至iptables链，br_netfilter内核参数需要开启转发

modprobe br_netfilter

cat > /etc/sysctl.d/docker.conf <<EOF
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
EOF

使参数生效

 sysctl -p /etc/sysctl.d/docker.conf

配置docker镜像加速器

修改/etc/docker/daemon.json，变成如下：

vim /etc/docker/daemon.json

{
"registry-mirrors":["https://y8y6vosv.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"]
}

或者

登录docker服务器上，直接远程拷贝docker服务器上的daemon.json文件到harbor服务器上
（本次实验用的这个方式）

scp /etc/docker/daemon.json 192.168.40.184:/etc/docker/

加载配置 并 重启docker

systemctl daemon-reload && systemctl restart docker

安装harbor

创建安装目录

mkdir /data/install -pcd /data/install/

把harbor的离线包harbor-offline-installer-v2.3.0-rc3.tgz上传到这个目录

离线包放在了网盘里可自取：
链接: https://pan.baidu.com/s/13ayH_6RVqBZVIUj7GMVp-A?pwd=s6gt
提取码: s6gt

下载harbor离线包的地址： https://github.com/goharbor/harbor/releases/tag/

解压

tar zxvf harbor-offline-installer-v2.3.0-rc3.tgzcd harborcp harbor.yml.tmpl harbor.yml

修改配置文件

vim harbor.yml

hostname:  harbor  
#修改hostname，跟上面签发的证书域名保持一致
#协议用https
certificate: /data/ssl/harbor.pem
private_key: /data/ssl/harbor.key

邮件和ldap不需要配置，在harbor的web界面可以配置
其他配置采用默认即可，修改之后保存退出

注：harbor默认的账号密码：admin/Harbor12345

安装docker-compose

上传网盘里提供的 docker-compose-Linux-x86_64 文件到 harbor服务器上

mv docker-compose-Linux-x86_64.64 /usr/bin/docker-compose

chmod +x /usr/bin/docker-compose

注： docker-compose项目是Docker官方的开源项目，负责实现对Docker容器集群的快速编排。Docker-Compose的工程配置文件默认为docker-compose.yml，Docker-Compose运行目录下的必要有一个docker-compose.yml。docker-compose可以管理多个docker实例。

安装harbor

需要的离线镜像包 docker-harbor-2-3-0.tar.gz 也在网盘里，上传到harbor服务器上，通过docker load -i 解压

docker load -i docker-harbor-2-3-0.tar.gz 

cd /data/install/harbor./install.sh

看到下面内容，说明安装成功

在自己电脑修改hosts文件（实现本地用域名访问harbor）

在hosts文件添加如下一行，然后保存即可
192.168.40.184 harbor

扩展

如何停掉harbor

cd /data/install/harbor

docker-compose stop 

如何启动harbor

cd /data/install/harbor

docker-compose start

Harbor 图像化界面使用说明

在浏览器输入：https://harbor

接收风险并继续，出现如下界面，说明访问正常

账号：admin
密码：Harbor12345
输入账号密码出现如下：
所有基础镜像都会放在library里面，这是一个公开的镜像仓库

新建项目->起个项目名字dev（把访问级别公开那个选中，让项目才可以被公开使用）

测试使用harbor私有镜像仓库

打开部署docker的服务器

配置hosts文件

vim /etc/hosts

加 harbor和 docker 的信息(ps. docker是提前在192.168.40.180主机上部署好的)

192.168.40.180 docker
192.168.40.184 harbor

修改docker配置

vim /etc/docker/daemon.json

配置新增加了一行内容如下：“insecure-registries”:[“192.168.40.184”]

增加的内容表示内网访问harbor的时候走的是 http，192.168.40.184是安装harbor机器的 IP

{ "registry-mirrors": ["https://rsbud4vc.mirror.aliyuncs.com","https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"],"insecure-registries": ["192.168.40.184","harbor"]
}

修改配置之后使配置生效

systemctl daemon-reload && systemctl restart docker

查看docker是否启动成功

systemctl status docker

登录harbor

docker login 192.168.40.184

Username：admin
Password: Harbor12345

输入账号密码之后看到如下，说明登录成功了

上传本地镜像

实验：把本地tomcat镜像上传到harbor里

把本地tomcat镜像重打标签

docker tag tomcat:latest  192.168.40.184/dev/tomcat:v1

把【192.168.40.184/dev/tomcat:v1】上传到harbor里的dev项目下

docker push 192.168.40.184/dev/tomcat:v1

从harbor仓库下载镜像

实验：先在docker服务器上删除【tomcat:v1】镜像，从harbor上拉取

docker rmi -f 192.168.40.184/dev/tomcat:v1

docker pull 192.168.40.184/dev/tomcat:v1